Добро пожаловать обратно, начинающие кибервоины!
В греческой мифологии Медуза когда-то была прекрасной женщиной, пока проклятие Афины не превратило её в крылатое существо с головой, полной змей. Она предстаёт одновременно и чудовищем, и защитницей, обладающей способностью превращать в камень любого, кто взглянет на её лицо.
Группы, занимающиеся вирусами-вымогателями, часто используют идентичность, которая демонстрирует силу и власть, и, возможно, именно это стало причиной появления вируса-вымогателя Medusa в середине 2021 года. С 2023 года эта группа входит в десятку крупнейших злоумышленников, занимающихся программами-вымогателями, атакуя таких известных жертв, как Toyota Financial Services и Миннеаполисский государственный школьный округ.
В этой статье мы рассмотрим эволюцию программ-вымогателей, более подробно рассмотрим Medusa — ее происхождение, деятельность и тех, кто за ней стоит.
Сообщение после активации трояна AIDS (также известного как PC Cyborg)
В 1990-х и начале 2000-х годов программы-вымогатели оставались относительно редким явлением, и киберпреступники в основном концентрировались на других видах вредоносного ПО, таких как вирусы, черви и шпионское ПО. Ситуация начала кардинально меняться примерно в 2005–2006 годах с появлением более совершенных методов шифрования и развитием технологий, обеспечивающих анонимность.
CryptoLocker также был известен тем, что стал пионером в использовании биткоина в качестве способа оплаты, что обеспечивало злоумышленникам большую анонимность по сравнению с традиционными финансовыми системами. Это нововведение создало шаблон, которому впоследствии следовали и совершенствовались программы-вымогатели.
Сообщение после активации CryptoLocker
Успех CryptoLocker привёл к взрывному росту числа подобных угроз: CryptoWall, TeslaCrypt, CTB-Locker и многих других. Каждая версия приносила усовершенствования в методы шифрования, методы распространения и стратегии монетизации. В этот период разработчики программ-вымогателей начали работать по модели «программы-вымогатели как услуга» (RaaS), когда разработчики создавали вредоносное ПО, а затем лицензировали его для аффилированных лиц, которые проводили атаки в обмен на процент от суммы выкупа.
Этот сдвиг сопровождался появлением тактики двойного вымогательства, впервые широко примененной группой вирусов-вымогателей Maze в конце 2019 года. Этот подход включает в себя не только шифрование данных, но и кражу конфиденциальной информации до шифрования с угрозой её публикации в случае неуплаты выкупа. Эта стратегия нейтрализовала основную защиту организаций от программ-вымогателей: комплексное резервное копирование. Даже если организация могла восстановить свои системы из резервных копий, угроза утечки конфиденциальных данных создавала огромное давление, вынуждающее платить.
Общий обзор операционной структуры REvil RaaS
В этот период группы, занимающиеся разработкой программ-вымогателей, также начали использовать атаки на цепочки поставок, о чём свидетельствует атака Kaseya VSA в июле 2021 года, когда вирус-вымогатель REvil взломал механизм обновления программного обеспечения и одновременно заразил тысячи организаций. Тактика также расширилась, включив в себя преднамеренные атаки на резервные копии, эксплуатацию уязвимостей нулевого дня и использование легитимных системных инструментов для избежания обнаружения (так называемое «выживание за счёт земли»).
На фоне все более изощренных и профессиональных операций по вымогательству Medusa превратилась в серьезную угрозу.
После завершения шифрования Medusa добавляет к зашифрованным файлам пользовательское расширение, обычно «.MEDUSA» или его вариацию, что позволяет жертвам легко идентифицировать их. Кроме того, программа-вымогатель размещает в каждом затронутом каталоге записки с требованием выкупа, обычно в виде текстового файла с именем «MEDUSA-RECOVERY.txt» или похожим.
Заметка о программе-вымогателе Medusa
Основной мотив группировки Medusa, по всей видимости, — финансовая выгода. Как и многие другие группировки, Medusa использует стратегию двойного вымогательства и начинает переговоры с высоких требований. Сайт утечки данных, ссылки на TOR, форумы и другие ключевые ресурсы группы, предназначенные для вымогательства, находятся в даркнете. Подобные схемы широко распространены среди злоумышленников.
Уникальность Medusa заключается в использовании публичного интернета, также известного как «клирнет» или «чистая сеть». Medusa связана с публичным каналом Telegram, профилем Facebook и учётной записью X под брендом «OSINT Without Borders». Этими ресурсами управляют операторы, использующие псевдонимы «Роберт Вроофдаун» и «Роберт Энабер». Также существует веб-сайт OSINT Without Borders.
Профиль OSINT Without Borders X (ранее Twitter) ведёт Роберт Вруфдаун
Статья опубликована Робертом Вруфдауном
Перед развертыванием криптографической нагрузки операторы Medusa извлекают конфиденциальные данные из целевой сети. Эта кража данных служит стратегии двойного вымогательства и позволяет злоумышленникам получить ценную информацию о деятельности жертвы, включая её финансовое положение и условия страхования от киберугроз, — информацию, которая впоследствии может быть использована при переговорах о выкупе.
Фактическое развертывание шифровальной нагрузки обычно приурочено к периодам низкой активности, например, к выходным или праздникам, чтобы нанести максимальный ущерб до обнаружения. Программа-вымогатель часто внедряется через групповые политики или инструменты удалённого выполнения, что позволяет одновременно шифровать несколько систем.
В марте 2022 года крупная сеть больниц на северо-востоке США стала жертвой вируса-вымогателя Medusa. Атака нарушила работу 12 учреждений системы, вынудив перенаправить экстренных пациентов и отменить необязательные процедуры. Злоумышленники похитили около 230 ГБ данных, включая медицинские карты пациентов, платежную информацию и данные сотрудников.
Система здравоохранения изначально отказалась платить выкуп в размере 4,5 миллионов долларов, в результате чего злоумышленники опубликовали часть украденных данных на своём сайте утечки. После недели серьёзных сбоев в работе и растущего общественного давления организация, как сообщается, договорилась о выплате около 2 миллионов долларов. Восстановление данных продолжалось почти месяц, даже после получения инструментов дешифрования.
Поставщик автозапчастей (2022)
В ноябре 2022 года жертвой Medusa стал поставщик автозапчастей первого уровня с объектами в Северной Америке и Европе. Атака парализовала работу систем планирования производства, баз данных контроля качества и платформ логистики отгрузок. В течение 48 часов сбой вызвал цепную реакцию по всей цепочке поставок, вызвав замедление производства на нескольких крупных автопроизводителях.
Чрезмерная скорость работы цепочек поставок автомобильной промышленности создавала огромную необходимость в скорейшем разрешении ситуации. Столкнувшись с потенциальными штрафными санкциями со стороны клиентов и ежедневными производственными убытками, превышающими 3 миллиона долларов, компания вступила в переговоры со злоумышленниками и заплатила около 2,8 миллиона долларов за инструменты дешифрования. Общий экономический ущерб, включая расходы на восстановление, производственные потери и штрафные санкции для клиентов, оценивался более чем в 40 миллионов долларов.
Муниципальное управление (2023)
В марте 2023 года атаке подверглось здание муниципалитета среднего размера на юге США, в результате которой операторы Medusa проникли в сети, отвечающие за важнейшие городские функции. В результате атаки были выведены из строя платёжные системы, системы обработки разрешений, судебные процессы и даже системы водоочистных сооружений, хотя отказоустойчивые механизмы предотвратили возникновение проблем с общественной безопасностью.
Злоумышленники потребовали 4,2 миллиона долларов, угрожая раскрыть 1,3 ТБ конфиденциальных данных, включая полицейские записи, персональные данные сотрудников города и налоговые документы жителей. Городские власти, сотрудничающие с федеральными правоохранительными органами, отказались платить выкуп и вместо этого сосредоточились на восстановлении систем. Впоследствии злоумышленники опубликовали часть украденных данных, что вызвало опасения по поводу кражи личных данных у тысяч жителей и сотрудников.
Угроза программ-вымогателей, несомненно, продолжит развиваться, поскольку Medusa и подобные ей операции адаптируются к противодействию усовершенствованным средствам защиты. Эта продолжающаяся гонка вооружений требует постоянной бдительности и адаптации как от специалистов по безопасности, так и от руководителей организаций.
В греческой мифологии Медуза когда-то была прекрасной женщиной, пока проклятие Афины не превратило её в крылатое существо с головой, полной змей. Она предстаёт одновременно и чудовищем, и защитницей, обладающей способностью превращать в камень любого, кто взглянет на её лицо.
Группы, занимающиеся вирусами-вымогателями, часто используют идентичность, которая демонстрирует силу и власть, и, возможно, именно это стало причиной появления вируса-вымогателя Medusa в середине 2021 года. С 2023 года эта группа входит в десятку крупнейших злоумышленников, занимающихся программами-вымогателями, атакуя таких известных жертв, как Toyota Financial Services и Миннеаполисский государственный школьный округ.
В этой статье мы рассмотрим эволюцию программ-вымогателей, более подробно рассмотрим Medusa — ее происхождение, деятельность и тех, кто за ней стоит.
Историческое происхождение и эволюция программ-вымогателей
Чтобы полностью понять место Medusa в экосистеме киберпреступности, необходимо сначала проследить эволюцию программ-вымогателей в целом. Концепция цифрового вымогательства возникла в конце 1980-х годов, когда троян AIDS (также известный как PC Cyborg) получил широкое признание как первая атака с использованием программ-вымогателей. Созданный биологом-эволюционистом Джозефом Поппом в 1989 году, этот примитивный вирус-вымогатель шифровал имена файлов на зараженных системах и требовал плату за восстановление доступа. Шифрование было относительно простым, а способ оплаты — отправка денег на абонентский ящик в Панаме — по сегодняшним меркам был примитивным.
В 1990-х и начале 2000-х годов программы-вымогатели оставались относительно редким явлением, и киберпреступники в основном концентрировались на других видах вредоносного ПО, таких как вирусы, черви и шпионское ПО. Ситуация начала кардинально меняться примерно в 2005–2006 годах с появлением более совершенных методов шифрования и развитием технологий, обеспечивающих анонимность.
Революция крипто-вымогателей
Современная эра программ-вымогателей началась с появления крипто-вымогателей, использующих надёжные алгоритмы шифрования для блокировки файлов жертв. CryptoLocker, появившийся в 2013 году, ознаменовал собой важный поворотный момент. В отличие от более ранних программ-вымогателей, которые зачастую просто блокировали доступ к компьютерам, не шифруя данные, CryptoLocker использовал надёжное шифрование RSA, делая файлы действительно недоступными без ключа дешифрования.CryptoLocker также был известен тем, что стал пионером в использовании биткоина в качестве способа оплаты, что обеспечивало злоумышленникам большую анонимность по сравнению с традиционными финансовыми системами. Это нововведение создало шаблон, которому впоследствии следовали и совершенствовались программы-вымогатели.
Сообщение после активации CryptoLocker
Успех CryptoLocker привёл к взрывному росту числа подобных угроз: CryptoWall, TeslaCrypt, CTB-Locker и многих других. Каждая версия приносила усовершенствования в методы шифрования, методы распространения и стратегии монетизации. В этот период разработчики программ-вымогателей начали работать по модели «программы-вымогатели как услуга» (RaaS), когда разработчики создавали вредоносное ПО, а затем лицензировали его для аффилированных лиц, которые проводили атаки в обмен на процент от суммы выкупа.
Расцвет охоты на крупную дичь
Примерно в 2018–2019 годах деятельность программ-вымогателей начала смещать фокус с неизбирательных атак на отдельные лица, охватывающих обширную сеть, на так называемую «охоту на крупную дичь» — в частности, на крупные организации, способные платить значительные выкупы. Пионерами этого подхода стали такие группы, как Ryuk, Maze и REvil, сосредоточившись на больницах, государственных учреждениях и крупных корпорациях, а не на отдельных пользователях.Этот сдвиг сопровождался появлением тактики двойного вымогательства, впервые широко примененной группой вирусов-вымогателей Maze в конце 2019 года. Этот подход включает в себя не только шифрование данных, но и кражу конфиденциальной информации до шифрования с угрозой её публикации в случае неуплаты выкупа. Эта стратегия нейтрализовала основную защиту организаций от программ-вымогателей: комплексное резервное копирование. Даже если организация могла восстановить свои системы из резервных копий, угроза утечки конфиденциальных данных создавала огромное давление, вынуждающее платить.
Экосистема программ-вымогателей развивается
К 2020–2021 годам программы-вымогатели превратились в полноценную преступную индустрию со специализированными ролями, профессиональными операциями и даже стратегиями связей с общественностью. Группы начали создавать специальные «сайты утечек», где публиковали данные жертв, не соблюдающих правила, предоставляли «доказательства жизни» в виде образцов украденных данных и даже выпускали пресс-релизы о своей деятельности.
Общий обзор операционной структуры REvil RaaS
В этот период группы, занимающиеся разработкой программ-вымогателей, также начали использовать атаки на цепочки поставок, о чём свидетельствует атака Kaseya VSA в июле 2021 года, когда вирус-вымогатель REvil взломал механизм обновления программного обеспечения и одновременно заразил тысячи организаций. Тактика также расширилась, включив в себя преднамеренные атаки на резервные копии, эксплуатацию уязвимостей нулевого дня и использование легитимных системных инструментов для избежания обнаружения (так называемое «выживание за счёт земли»).
На фоне все более изощренных и профессиональных операций по вымогательству Medusa превратилась в серьезную угрозу.
Что такое вирус-вымогатель Medusa?
С технической точки зрения Medusa — это сложное вредоносное ПО, написанное преимущественно на C++. Оно использует гибридную схему шифрования, сочетающую симметричные и асимметричные алгоритмы — распространённый подход в современных программах-вымогателях. В частности, Medusa шифрует файлы жертвы с помощью алгоритма AES-256, при этом сам ключ AES шифруется с помощью RSA-2048. Этот многоуровневый подход гарантирует вычислительную невозможность расшифровки без закрытого ключа RSA, который находится исключительно у злоумышленников.После завершения шифрования Medusa добавляет к зашифрованным файлам пользовательское расширение, обычно «.MEDUSA» или его вариацию, что позволяет жертвам легко идентифицировать их. Кроме того, программа-вымогатель размещает в каждом затронутом каталоге записки с требованием выкупа, обычно в виде текстового файла с именем «MEDUSA-RECOVERY.txt» или похожим.
Заметка о программе-вымогателе Medusa
Что такое вирус-вымогатель Medusa?
Точное местоположение и отдельные операторы Medusa неизвестны, но аналитики подозревают, что группа действует из России или союзного ей государства. Группировка активна на русскоязычных форумах, посвящённых киберпреступности, и использует сленг, характерный для российских криминальных субкультур. Она также избегает атак на компании в России и странах Содружества Независимых Государств (СНГ). Большинство жертв вируса-вымогателя Medusa находятся в США, Великобритании, Канаде, Австралии, Франции и Италии. Исследователи считают, что группа, занимающаяся вымогательством Medusa, поддерживает интересы России, хотя и не спонсируется государством.Основной мотив группировки Medusa, по всей видимости, — финансовая выгода. Как и многие другие группировки, Medusa использует стратегию двойного вымогательства и начинает переговоры с высоких требований. Сайт утечки данных, ссылки на TOR, форумы и другие ключевые ресурсы группы, предназначенные для вымогательства, находятся в даркнете. Подобные схемы широко распространены среди злоумышленников.
Уникальность Medusa заключается в использовании публичного интернета, также известного как «клирнет» или «чистая сеть». Medusa связана с публичным каналом Telegram, профилем Facebook и учётной записью X под брендом «OSINT Without Borders». Этими ресурсами управляют операторы, использующие псевдонимы «Роберт Вроофдаун» и «Роберт Энабер». Также существует веб-сайт OSINT Without Borders.
Профиль OSINT Without Borders X (ранее Twitter) ведёт Роберт Вруфдаун
Статья опубликована Робертом Вруфдауном
Цепочка заражения
Цепочка заражения «Медузы» многогранна и легко адаптируется. Обычно используются следующие векторы первоначального доступа:- Фишинговые кампании : тщательно составленные электронные письма с вредоносными вложениями или ссылками служат основной точкой входа.
- Эксплуатация протокола удаленного рабочего стола (RDP) : группировка использует плохо защищенные RDP-подключения для получения первоначального доступа к сетям, либо с помощью атак методом подбора пароля, либо путем покупки ранее скомпрометированных учетных данных на подпольных рынках.
- Эксплуатация уязвимостей : операторы Medusa активно используют известные уязвимости в общедоступных приложениях, особенно в решениях VPN, веб-приложениях и почтовых серверах.
- Нарушения цепочки поставок : в некоторых случаях группа получала доступ через доверенных сторонних поставщиков программного обеспечения или услуг, используя доверительные отношения между жертвой и ее поставщиками.
Перед развертыванием криптографической нагрузки операторы Medusa извлекают конфиденциальные данные из целевой сети. Эта кража данных служит стратегии двойного вымогательства и позволяет злоумышленникам получить ценную информацию о деятельности жертвы, включая её финансовое положение и условия страхования от киберугроз, — информацию, которая впоследствии может быть использована при переговорах о выкупе.
Фактическое развертывание шифровальной нагрузки обычно приурочено к периодам низкой активности, например, к выходным или праздникам, чтобы нанести максимальный ущерб до обнаружения. Программа-вымогатель часто внедряется через групповые политики или инструменты удалённого выполнения, что позволяет одновременно шифровать несколько систем.
Процесс вымогательства
Что действительно отличает Medusa от многих других программ-вымогателей, так это её чрезвычайно сложный подход к процессу вымогательства. После завершения шифрования жертвы перенаправляются на специальный портал в сети Tor. Этот портал выполняет несколько функций:- Канал связи : портал предоставляет функцию безопасного чата, посредством которого жертвы могут общаться со злоумышленниками.
- Обработка платежей : портал содержит подробные инструкции по оплате выкупа, как правило, в криптовалютах, таких как Bitcoin или Monero. Medusa иногда предлагает «скидки» за быструю оплату, создавая ощущение срочности и стимулируя соблюдение правил.
- Таймер обратного отсчета : Многие жертвы сообщают, что портал отображает таймер обратного отсчета, по истечении которого сумма выкупа увеличивается или якобы публикуются украденные данные.
- Служба проверки файлов : Medusa иногда предлагает расшифровать небольшое количество файлов в качестве доказательства того, что у них есть рабочий инструмент дешифрования.
- Доказательства утечки данных : портал часто включает образцы украденных данных в качестве доказательства кражи данных.
Известные атаки вируса-вымогателя Medusa
Северо-восточная больничная система (2022)В марте 2022 года крупная сеть больниц на северо-востоке США стала жертвой вируса-вымогателя Medusa. Атака нарушила работу 12 учреждений системы, вынудив перенаправить экстренных пациентов и отменить необязательные процедуры. Злоумышленники похитили около 230 ГБ данных, включая медицинские карты пациентов, платежную информацию и данные сотрудников.
Система здравоохранения изначально отказалась платить выкуп в размере 4,5 миллионов долларов, в результате чего злоумышленники опубликовали часть украденных данных на своём сайте утечки. После недели серьёзных сбоев в работе и растущего общественного давления организация, как сообщается, договорилась о выплате около 2 миллионов долларов. Восстановление данных продолжалось почти месяц, даже после получения инструментов дешифрования.
Поставщик автозапчастей (2022)
В ноябре 2022 года жертвой Medusa стал поставщик автозапчастей первого уровня с объектами в Северной Америке и Европе. Атака парализовала работу систем планирования производства, баз данных контроля качества и платформ логистики отгрузок. В течение 48 часов сбой вызвал цепную реакцию по всей цепочке поставок, вызвав замедление производства на нескольких крупных автопроизводителях.
Чрезмерная скорость работы цепочек поставок автомобильной промышленности создавала огромную необходимость в скорейшем разрешении ситуации. Столкнувшись с потенциальными штрафными санкциями со стороны клиентов и ежедневными производственными убытками, превышающими 3 миллиона долларов, компания вступила в переговоры со злоумышленниками и заплатила около 2,8 миллиона долларов за инструменты дешифрования. Общий экономический ущерб, включая расходы на восстановление, производственные потери и штрафные санкции для клиентов, оценивался более чем в 40 миллионов долларов.
Муниципальное управление (2023)
В марте 2023 года атаке подверглось здание муниципалитета среднего размера на юге США, в результате которой операторы Medusa проникли в сети, отвечающие за важнейшие городские функции. В результате атаки были выведены из строя платёжные системы, системы обработки разрешений, судебные процессы и даже системы водоочистных сооружений, хотя отказоустойчивые механизмы предотвратили возникновение проблем с общественной безопасностью.
Злоумышленники потребовали 4,2 миллиона долларов, угрожая раскрыть 1,3 ТБ конфиденциальных данных, включая полицейские записи, персональные данные сотрудников города и налоговые документы жителей. Городские власти, сотрудничающие с федеральными правоохранительными органами, отказались платить выкуп и вместо этого сосредоточились на восстановлении систем. Впоследствии злоумышленники опубликовали часть украденных данных, что вызвало опасения по поводу кражи личных данных у тысяч жителей и сотрудников.
Краткое содержание
Medusa действует как сложная бизнес-компания со специализированными ролями, профессиональной тактикой переговоров и стратегическим нацеливанием, что далеко от конъюнктурной киберпреступности по принципу «разгроми и захвати».Угроза программ-вымогателей, несомненно, продолжит развиваться, поскольку Medusa и подобные ей операции адаптируются к противодействию усовершенствованным средствам защиты. Эта продолжающаяся гонка вооружений требует постоянной бдительности и адаптации как от специалистов по безопасности, так и от руководителей организаций.
